UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy dane przetwarzane przy użyciu systemu eWUŚ są bezpieczne?, 9.01.2013 r.

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2013-01-09
Wprowadził‚ informację: Rafał Kreusch 2013-01-09 15:53:17
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

GIODO ma wątpliwości, czy przyjęte przepisy dają wystarczającą gwarancję, że informacji o udzielonych nam świadczeniach zdrowotnych nie uzyskają osoby nieupoważnione.

 

Od 1 stycznia 2013 r. za pomocą systemu Elektronicznej Weryfikacji Uprawnień Świadczeniobiorców (eWUŚ) możliwe jest, po podaniu numeru PESEL, sprawdzenie naszych uprawnień do bezpłatnej opieki zdrowotnej. Kwestię tę reguluje rozporządzenie ministra zdrowia z dnia 20 grudnia 2012 r. w sprawie warunków występowania o sporządzenie dokumentu elektronicznego potwierdzającego prawo do świadczeń opieki zdrowotnej. Przewiduje ono, że uprawnieni świadczeniodawcy będą mogli za pomocą systemu eWUŚ uzyskać informację, czy dana osoba jest ubezpieczona, czy nie.

 

Pierwszy etap jest bezpieczny

 

W opinii Generalnego Inspektora Ochrony Danych Osobowych (GIODO), na tym etapie działania tego systemu, gdy tylko potwierdzane jest uprawnienie do świadczeń zdrowotnych, system jest bezpieczny w zakresie ochrony danych osobowych.

Weryfikacja uprawnień usługobiorcy dokonywana przez usługodawcę, czyli przez podmiot prowadzący działalność leczniczą nie budzi poważnych wątpliwości z mojej strony, bowiem mamy tu do czynienia jedynie z weryfikacją uprawnień do świadczeń, przy której dostęp do informacji o stanie zdrowia czy jakichkolwiek danych medycznych nie ma miejsca – mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych podczas konferencji prasowej zorganizowanej 9 stycznia 2013 r. – Niemniej nawet w tym przypadku zwracałem uwagę na to, że zabezpieczenia mające na celu zapewnienie, by dostęp do systemu mieli tylko uprawnieni usługodawcy, wynikają bardziej z praktycznych rozwiązań przygotowanych przez Narodowy Fundusz Zdrowia (NFZ) niż z przepisów prawnych – dodał.

 

Druga funkcjonalność budzi obawy

 

Jednak większe obawy GIODO budzą rozwiązania przyjęte w kolejnym rozporządzeniu ministra zdrowia, wydanym również 20 grudnia 2012 r., a dotyczącym sposobu, trybu i terminów występowania do Narodowego Funduszu Zdrowia oraz udostępniania przez Narodowy Fundusz Zdrowia świadczeniobiorcy informacji o prawie do świadczeń opieki zdrowotnej oraz o udzielonych mu świadczeniach. Przewiduje ono uruchomienie drugiej funkcjonalności systemu eWUŚ, jaką jest możliwość samodzielnego sprawdzania, po zalogowaniu się w systemie, jakie świadczenia medyczne zostały nam udzielone. A przecież informacje te, odnoszące się pośrednio do naszego stanu zdrowia, uznać należy za dane osobowe tzw. wrażliwe, a więc podlegające szczególnej ochronie.

Nie negując potrzeby zapewnienia usługobiorcom prawa do informacji dotyczących udzielonych im świadczeń opieki zdrowotnej oraz do informacji dotyczących np. daty zgłoszenia do ubezpieczenia, danych płatnika składek, a także kwoty wydatkowych na nasze leczenie środków publicznych, niepokój budzi propozycja stworzenia bazy, która przymusowo obejmuje wszystkich użytkowników świadczeń zdrowotnych i do której dostęp będzie możliwy z dowolnego miejsca na świecie przy pomocy sieci Internet – mówił dr Wojciech Rafał Wiewiórowski.

Wskazywał, że wprawdzie baza taka istnieje od dawna, ale umożliwienie dostępu do niej on-line przy zastosowaniu „dość delikatnego sposobu logowania” stanowi poważne zagrożenie dla bezpieczeństwa zawartych w niej danych.

Warto zwrócić uwagę, że właśnie takie zastrzeżenia dotyczące bezpieczeństwa systemu podłączonego do Internetu oraz uprawnień do uzyskania z niego informacji spowodowały, że w Holandii zrezygnowano z wprowadzenia systemu zawierającego dane dotyczące wszystkich usługobiorców – mówił GIODO. – Tamtejszy odpowiednik polskiego NFZ, uwzględniając uwagi holenderskiego organu ds. ochrony danych osobowych, postanowił, że do systemu dostępnego przy pomocy Internetu wprowadzane będą jedynie dane dotyczące tych usługobiorców, którzy wyrazili na to zgodę – wskazał.

Z tą funkcjonalnością systemu eWUŚ związana jest też kolejna obawa GIODO. Dotyczy ona tego, że różne podmioty, np. ubezpieczyciele, będą przymuszały nas do tego, byśmy przed zawarciem z nimi umowy sami dostarczyli informacje dotyczące udzielonych nam świadczeń zdrowotnych. – Oczywiście takiej prośbie może być trudno odmówić – dodał dr Wojciech Rafał Wiewiórowski.

Wskazał, że powoływanie się przy tym na przesłankę zgody jako podstawy uprawniającej do przetwarzania danych osobowych jest niedopuszczalne. Jak powiedział, tak fałszywie rozumiana zgoda może prowadzić do dyskryminacji osób i nie może stanowić podstawy przetwarzania danych osobowych przez wymuszające ją firmy.

 

Jest czas na dopracowanie rozwiązań

 

GIODO podkreślił, że powyższe zastrzeżenia do rozporządzeń regulujących funkcjonowanie systemu eWUŚ zgłaszał na etapie prac legislacyjnych, ale nie zostały wzięte pod uwagę.

Chcę jednak wierzyć, że zarówno to, iż zastrzeżenia te znane są zarówno ministrowi zdrowia, jak i ministrowi administracji i cyfryzacji, jak i to, że druga z funkcjonalności systemu nie została uruchomiona od 1 stycznia 2013 r., świadczą o tym, że są one brane pod uwagę, a czas pozostały do jej wdrożenia zostanie wykorzystany na ich ponowne przemyślenie – dodał GIODO.

Po zakończeniu konferencji prasowej, z której zapis dźwiękowy dostępny jest poniżej, zainteresowanym dziennikarzom GIODO udzielał indywidualnych wypowiedzi. Kwestie te były ponadto tematem wywiadów, których dr Wojciech Rafał Wiewiórowski udzielił m.in. redaktorowi Bartoszowi Kurkowi z Polsat News, redaktorowi Robertowi Kantereitowi z Trójki Polskiego Radia, redaktor Jolancie Kucharskiej z TVN CNBC oraz redaktorowi Jarosławowi Kuźniarowi z TVN24.

Załączone pliki

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2021-01-09
Wprowadził‚ informację: Rafał Kreusch 2013-01-10 15:21:26
Ostatnio modyfikował: 2014-07-15 09:03:21

Ostatnie aktualności